看雪一个样本

温馨小屋

诺顿秒杀
文件名: lab11-01.exe
威胁名称: Trojan.Gen.2完整路径: c:\users\zry98\downloads\lab11-01\lab11-01.exe

____________________________

____________________________


在电脑上的创建时间 
2015/7/21 ( 14:09:20 )

上次使用时间 
2015/7/21 ( 14:09:20 )

启动项目 
否

已启动 
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


lab11-01.exe 威胁名称: Trojan.Gen.2
定位


少量用户信任的文件
诺顿社区中有 不到 50 名用户使用了此文件。

发布已久的文件
该文件已在 3 年 4 个月 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\users\zry98\downloads\lab11-01\ lab11-01.exe 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

Ｍy↘じ★ve

yeow5243

pal家族 发表于 2015-7-21 21:05
威胁名称:        TROJ_GEN.R011C0EK614
类型:        恶意软件
受感染文件:        D:\360安全浏览器下载\Lab11-01.exe

卡巴信任表示能过卡巴hips白名单了？

pal家族

yeow5243 发表于 2015-7-21 23:30
卡巴信任表示能过卡巴hips白名单了？

并不确定。。。

ELOHIM

[mw_shl_code=css,true]                %d  \ M S G i n a   ShellShutdownDialog WlxActivateUserShell    WlxDisconnectNotify WlxDisplayLockedNotice  WlxDisplaySASNotice WlxDisplayStatusMessage WlxGetConsoleSwitchCredentials  WlxGetStatusMessage WlxInitialize   WlxIsLockOk WlxIsLogoffOk   WlxLoggedOnSAS  WlxLogoff   WlxNegotiate    WlxNetworkProviderLoad  WlxReconnectNotify  WlxRemoveStatusMessage  WlxScreenSaverNotify    WlxShutdown WlxStartApplication WlxWkstaLockedSAS   G i n a D L L   S o f t w a r e \ M i c r o s o f t \ W i n d o w s   N T \ C u r r e n t V e r s i o n \ W i n l o g o n   M S G i n a . d l l     U N   % s   D M   % s   P W   % s   O L D   % s     WlxLoggedOutSAS
   E r r o r C o d e : % d   E r r o r M e s s a g e : % s .   
   % s   % s   -   % s     m s u t i l 3 2 . s y s                a[/mw_shl_code]
[mw_shl_code=css,true]?  ?  ?      ?  ?  ?  ?  ?  ?  "  "  |!  j!  \!  ?      d"  p"  z"  ?  ?  ?  ?  X"  B"  2"  L"       #      ?          $"     $!          ?  D   ?          ?      T!          #  t                       ?  ?  ?      ?  ?  ?  ?  ?  ?  "  "  |!  j!  \!  ?      d"  p"  z"  ?  ?  ?  ?  X"  B"  2"  L"       #       ExitProcess ?GetProcAddress   FreeLibrary ULoadLibraryW  ?lstrcatW  ?GetSystemDirectoryW  DisableThreadLibraryCalls ?lstrlenW  ~
GetModuleFileNameW  ?lstrcpyW  \LocalFree  FormatMessageW  KERNEL32.dll   ??2@YAPAXI@Z  Lfclose  efwprintf  '_wstrdate (_wstrtime _wfopen ?_vsnwprintf MSVCRT.dll  ^free  
_initterm ?malloc   _adjust_fdiv  ?RegCloseKey RegSetValueExW  ?RegCreateKeyW ADVAPI32.dll  ?wsprintfA USER32.dll              B軺H    ?  
   4      H#  $  x$  ?  ?          0  @  P  `  p  [/mw_shl_code]

文件位置生成动态链接库一个。

zl181503

过火绒，上报

hacker22

Avira Free Antivirus
报告文件日期： 2015年7月25日  02:01


程序正以无限制的完整版的形式运行.
可以使用在线服务.

被许可人         : Avira Antivirus Free
序列号          : 0000149996-AVHOE-0000001
平台           : Windows 7 Professional
Windows 版本   : (Service Pack 1)  [6.1.7601]
启动模式         : 已正常启动
用户名          : Administrator
计算机名称        : USER-5NVPL82GPR

版本信息：
BUILD.DAT    : 14.0.3.350     56624 Bytes  2014-02-25 15:14:00
AVSCAN.EXE   : 14.0.3.332   1058384 Bytes  2014-02-25 07:13:59
AVSCANRC.DLL : 14.0.3.252     24632 Bytes  2014-02-25 07:13:59
LUKE.DLL     : 14.0.3.336     65616 Bytes  2014-02-25 07:14:01
AVSCPLR.DLL  : 14.0.3.336    124496 Bytes  2014-02-25 07:13:59
AVREG.DLL    : 14.0.3.336    250448 Bytes  2014-02-25 07:13:59
avlode.dll   : 14.0.3.336    544848 Bytes  2014-02-25 07:13:59
avlode.rdf   : 14.0.3.14      58589 Bytes  2014-02-25 07:13:59
VBASE000.VDF : 7.11.70.0   66736640 Bytes  2013-04-04 07:14:03
VBASE001.VDF : 7.11.74.226  2201600 Bytes  2013-04-30 07:14:03
VBASE002.VDF : 7.11.80.60   2751488 Bytes  2013-05-28 07:14:03
VBASE003.VDF : 7.11.85.214  2162688 Bytes  2013-06-21 07:14:03
VBASE004.VDF : 7.11.91.176  3903488 Bytes  2013-07-23 07:14:03
VBASE005.VDF : 7.11.98.186  6822912 Bytes  2013-08-29 07:14:03
VBASE006.VDF : 7.11.103.230  2293248 Bytes  2013-09-24 07:14:03
VBASE007.VDF : 7.11.116.38  5485568 Bytes  2013-11-28 07:14:03
VBASE008.VDF : 7.11.126.50  3615744 Bytes  2014-01-22 07:14:03
VBASE009.VDF : 7.11.128.174  2030080 Bytes  2014-02-03 07:14:03
VBASE010.VDF : 7.11.128.175     2048 Bytes  2014-02-03 07:14:03
VBASE011.VDF : 7.11.128.176     2048 Bytes  2014-02-03 07:14:03
VBASE012.VDF : 7.11.128.177     2048 Bytes  2014-02-03 07:14:03
VBASE013.VDF : 7.11.128.178     2048 Bytes  2014-02-03 07:14:03
VBASE014.VDF : 7.11.129.9    211456 Bytes  2014-02-04 07:14:03
VBASE015.VDF : 7.11.129.163   215040 Bytes  2014-02-06 07:14:03
VBASE016.VDF : 7.11.130.21   220672 Bytes  2014-02-08 07:14:03
VBASE017.VDF : 7.11.130.99   230400 Bytes  2014-02-10 07:14:03
VBASE018.VDF : 7.11.130.193   195072 Bytes  2014-02-11 07:14:03
VBASE019.VDF : 7.11.131.53   285184 Bytes  2014-02-13 07:14:03
VBASE020.VDF : 7.11.131.125   154624 Bytes  2014-02-14 07:14:03
VBASE021.VDF : 7.11.131.201   194560 Bytes  2014-02-15 07:14:03
VBASE022.VDF : 7.11.132.11   233472 Bytes  2014-02-17 07:14:03
VBASE023.VDF : 7.11.132.80   415232 Bytes  2014-02-18 07:14:03
VBASE024.VDF : 7.11.132.205   185344 Bytes  2014-02-20 07:14:03
VBASE025.VDF : 7.11.133.33   291328 Bytes  2014-02-22 07:14:03
VBASE026.VDF : 7.11.133.81   134144 Bytes  2014-02-23 07:14:03
VBASE027.VDF : 7.11.133.82     2048 Bytes  2014-02-23 07:14:03
VBASE028.VDF : 7.11.133.83     2048 Bytes  2014-02-23 07:14:03
VBASE029.VDF : 7.11.133.84     2048 Bytes  2014-02-23 07:14:03
VBASE030.VDF : 7.11.133.85     2048 Bytes  2014-02-23 07:14:03
VBASE031.VDF : 7.11.133.132   221184 Bytes  2014-02-25 07:14:03
引擎版本         : 8.2.14.12
AEVDF.DLL    : 8.1.3.4       102774 Bytes  2014-02-25 07:13:58
AESCRIPT.DLL : 8.1.4.190     516478 Bytes  2014-02-25 07:13:58
AESCN.DLL    : 8.1.10.6      131447 Bytes  2014-02-25 07:13:58
AESBX.DLL    : 8.2.20.6     1331575 Bytes  2014-02-25 07:13:58
AERDL.DLL    : 8.2.0.138     704888 Bytes  2014-02-25 07:13:58
AEPACK.DLL   : 8.4.0.0       774520 Bytes  2014-02-25 07:13:58
AEOFFICE.DLL : 8.1.2.82      205181 Bytes  2014-02-25 07:13:58
AEHEUR.DLL   : 8.1.4.918    6484346 Bytes  2014-02-25 07:13:58
AEHELP.DLL   : 8.1.27.10     266618 Bytes  2014-02-25 07:13:58
AEGEN.DLL    : 8.1.7.22      446839 Bytes  2014-02-25 07:13:58
AEEXP.DLL    : 8.4.1.204     434552 Bytes  2014-02-25 07:13:58
AEEMU.DLL    : 8.1.3.2       393587 Bytes  2014-02-25 07:13:58
AECORE.DLL   : 8.1.35.0      229753 Bytes  2014-02-25 07:13:58
AEBB.DLL     : 8.1.1.4        53619 Bytes  2014-02-25 07:13:58
AVWINLL.DLL  : 14.0.3.252     23608 Bytes  2014-02-25 07:14:00
AVPREF.DLL   : 14.0.3.252     48696 Bytes  2014-02-25 07:13:59
AVREP.DLL    : 14.0.3.252    175672 Bytes  2014-02-25 07:13:59
AVARKT.DLL   : 14.0.3.336    256080 Bytes  2014-02-25 07:13:59
AVEVTLOG.DLL : 14.0.3.336    165968 Bytes  2014-02-25 07:13:59
SQLITE3.DLL  : 3.7.0.1       394808 Bytes  2014-02-25 07:14:02
AVSMTP.DLL   : 14.0.3.252     60472 Bytes  2014-02-25 07:13:59
NETNT.DLL    : 14.0.3.252     13368 Bytes  2014-02-25 07:14:01
RCIMAGE.DLL  : 14.0.3.260   4980792 Bytes  2014-02-25 07:14:02
RCTEXT.DLL   : 14.0.3.282     65592 Bytes  2014-02-25 07:14:02

扫描的配置设置：
作业名称...........: ShlExt
配置文件...........: C:\Users\ADMINI~1\AppData\Local\Temp\b384e21b.avp
报告.............: 默认
主操作............: 交互式
辅助操作...........: 忽略
扫描主启动扇区........: 打开
扫描启动扇区.........: 打开
启动扇区...........: C:,
进程扫描...........: 关闭
扫描注册表..........: 关闭
搜索 Rootkit.....: 关闭
系统文件完整性检查......: 关闭
扫描所有文件.........: 智能文件选择
扫描存档...........: 打开
限制递归深度.........: 20
智能扩展...........: 打开
宏启发式...........: 打开
文件启发式..........: 中
偏离风险类别.........: +APPL,+GAME,+JOKE,+PCK,+SPR,

扫描开始时间： 2015年7月25日  02:01

正在启动文件扫描：

开始在“C:\Users\Administrator\Desktop\Lab11-01.zip”中扫描
C:\Users\Administrator\Desktop\Lab11-01.zip
    [0] 存档类型: ZIP
    --> Lab11-01.exe
        [检测]        是 TR/Agent.53248.465 特洛伊木马
        [警告]        无法修复存档中的受感染文件！

开始杀毒：
C:\Users\Administrator\Desktop\Lab11-01.zip
  [检测]        是 TR/Agent.53248.465 特洛伊木马
  [注意]        文件已被移到名为“51aad3d1.qua”的隔离目录中！


扫描结束时间： 2015年7月25日  02:01
已用时间: 00:00 分钟

扫描完毕.

      0 已扫描目录
      3 已扫描文件
      1 发现病毒和/或恶意程序
      0 文件被划定为可疑
      0 个文件已删除
      0 病毒和恶意程序已修复
      1 文件已移到隔离区
      0 文件已重命名
      0 无法扫描的文件
      2 不关心的文件
      1 存档已扫描
      1 警告
      1 说明